Auditingfunktionen in Autonomous Database
Oracle Autonomous Database bietet robuste Auditingfunktionen, mit denen Sie verfolgen können, wer welche Vorgänge im Service und in bestimmten Datenbanken ausgeführt hat. Mit umfassenden Logdaten können Sie Aktionen an Ihren Ressourcen auditieren und überwachen. So können Sie Ihre Auditanforderungen erfüllen und gleichzeitig das Sicherheits- und Betriebsrisiko reduzieren.
Verwandte Themen
Aktivitäten auf Serviceebene auditieren
Alle Aktionen, die Oracle Cloud-Benutzer mit den Ressourcen ausführen, die Bestandteil Ihres Deployments von Oracle Autonomous Database in einer dedizierten Infrastruktur sind, werden vom Audit-Service protokolliert, unabhängig von der verwendeten Schnittstelle: Oracle Cloud Infrastructure-Konsole, REST-API, Befehlszeilenschnittstelle (CLI), Software Development Kits (SDK) usw.
Mit dem Audit-Service können Sie eine Diagnose durchführen, die Ressourcennutzung verfolgen, die Compliance überwachen und sicherheitsbezogene Ereignisse erfassen. Weitere Informationen zum Audit-Service finden Sie unter Überblick über Audit in der Oracle Cloud Infrastructure-Dokumentation.
Darüber hinaus sendet Oracle Autonomous Database Vorgänge an Ressourcen an den Events-Service. Mit dem Events-Service können Sie Regeln erstellen, um diese Ereignisse zu erfassen und Aktionen wie das Senden von E-Mails mit dem Notifications-Service auszuführen.
Weitere Informationen zur Funktionsweise des Events-Service und zur Einrichtung der von diesem Service verwendeten Regeln und Aktionen finden Sie unter Überblick über Events. Eine Liste der Autonomous Database-Vorgänge, die Ereignisse generieren, finden Sie unter Ereignisse für Autonomous Database on Dedicated Exadata Infrastructure.
Tipp:
Um die Erstellung von Benachrichtigungen mit dem Events- und dem Notifications-Service auszuprobieren, können Sie Lab11: OCI Notification Service in Oracle Autonomous Database Dedicated for Fleet Administrators ausführen.Datenbankaktivitäten auditieren
Oracle Autonomous Database konfiguriert die von Ihnen erstellten autonomen Datenbanken für die Verwendung des einheitlichen Auditingfeatures von Oracle Database.
Dieses Feature erfasst Auditdatensätze aus den folgenden Quellen und stellt sie in einem einheitlichen Format in einem einzelnen Audittrail zusammen:
- Auditdatensätze (einschließlich
SYS-Auditdatensätze) aus einheitlichen Audit-Policys undAUDIT-Einstellungen - Detaillierte Auditdatensätze aus dem PL/SQL-Package
DBMS_FGA - Oracle Database Real Application Security-Auditdatensätze
- Oracle Recovery Manager-Auditdatensätze
- Oracle Database Vault-Auditdatensätze
- Oracle Label Security-Auditdatensätze
- Oracle Data Mining-Datensätze
- Oracle Data Pump
- Oracle SQL*Loader-Direktladevorgänge
Aus diesem Grund können Sie mit dem einheitlichen Audittrail eine Vielzahl von Diagnose- und Sicherheitsanalyseaktivitäten für Ihre Datenbank ausführen.
Um zu verhindern, dass der einheitliche Audittrail zu groß wird, enthalten von Ihnen erstellte autonome Datenbanken einen Oracle Scheduler-Job namens MAINTAIN_UNIAUD_TRAIL, der täglich ausgeführt wird und einheitliche Auditdatensätze entfernt, die älter als 90 Tage sind. Als ADMIN-Datenbankbenutzer können Sie die Eigenschaften dieses Jobs ändern.
AUDIT_UNIFIED_CONTEXTSAUDIT_UNIFIED_ENABLED_POLICIESAUDIT_UNIFIED_POLICIESAUDIT_UNIFIED_POLICY_COMMENTS
Nur ein ADMIN-Benutzer kann einem anderen Benutzer die Rollen AUDIT_VIEWER oder AUDIT_ADMIN erteilen. Wenn Sie die Rolle PDB_DBA haben, können Sie anderen Benutzern nicht AUDIT_VIEWER oder AUDIT_ADMIN erteilen.
Weitere Informationen zur Funktionsweise des einheitlichen Audits finden Sie unter Was ist einheitliches Auditing? im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.
Wenn Sie Ihre autonome Datenbank bei Oracle Data Safe registrieren, können Sie außerdem die umfangreichen Aktivitätsauditing- und aktivitätsbasierten Alertfeatures nutzen.
Informationen zu diesen Data Safe-Features finden Sie unter Aktivitätsauditing in Oracle Data Safe verwenden. Informationen zum Registrieren der Datenbank bei Data Safe finden Sie unter Dedizierte Datenbanken bei Data Safe registrieren oder ihre Registrierung aufheben.
Auditing autonomer VM-Aktivitäten
Erfassungs-Agents, die auf den Control-Plane-Servern von Autonomous Database ausgeführt werden, erfassen und senden BS-Auditlogs für alle virtuellen Maschinen und Hypervisoren, die auf dem physischen Host ausgeführt werden, zusätzlich zu Logs für Antiviren- und Host-Intrusion-Erkennungssoftware. Diese Logs werden an einen zentralen System Information and Event Management-(SIEM-)Service in OCI gesendet. Hunderte von Warnregeln für den SIEM-Scan auf Konfigurationsänderungen, potenzielle Einbrüche und nicht autorisierte Zugriffsversuche, unter anderem.
Ein dediziertes Team von Sicherheitsanalysten aus dem Detection and Response Team (DART) für Sicherheitsvorfälle ist für die Verwaltung der Sicherheitsereignis-Dashboards 24/7 und die Verarbeitung von Alerts verantwortlich, um echte positive Ergebnisse zu filtern. Wenn ein wahres Positiv erkannt wird, wird eine geeignete Antwort basierend auf dem Schweregrad und der Auswirkung des Ereignisses initiiert. Dies kann eine weitere Analyse, eine Ursachenbewertung und eine Behebung mit den Serviceteams und der Kundenkommunikation umfassen.
Darüber hinaus sendet die Software zum Scannen von Sicherheitslücken seine Ergebnisse an OCI Security Central, die automatisch Tickets für Serviceteams generiert, um Ergebnisse innerhalb eines Zeitraums basierend auf dem CVSS-Score zu beheben. Darüber hinaus werden Auditereignisse für Vorgangsaktionen an den Logging-Service und ein vom Kunden bereitgestelltes Syslog für Systeme gesendet, die beim Operator Access Control-Service registriert sind.
Oracle speichert die folgenden Logs für autonome VMs auf Exadata Cloud@Customer X8M-Hardware und höher:
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
Oracle bewahrt die folgenden Infrastrukturauditlogs für Exadata Cloud@Customer X8M und höher auf:
- Integrated Lights-Out Management (ILOM)
- ILOM-Syslog, das zum Syslog der physischen Infrastrukturkomponente umgeleitet wird
- syslog
- Physischer Exadata-Datenbankserver
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
- /var/log/clamav/clamav.log
- /var/log/aide/aide.log
- Exadata Storage Server
- /var/log/messages
- /var/log/secure
- /var/log/audit/audit.log
Oracle-Operatoraktivitäten auditieren
Tipp:
Eine schrittweise Anleitung zum Erstellen und Verwalten des Operatorkontrollzugriffs auf Exadata-Infrastruktur- und autonome Exadata-VM-Clusterressourcen finden Sie unter Übung 15: Operator Access Control in Oracle Autonomous Database Dedicated for Fleet Administrators Workshop.
- Sie als Kunde sind für die Daten und die Datenbankanwendung verantwortlich.
- Oracle ist für die Infrastrukturkomponenten verantwortlich: Stromversorgung, Bare-Metal-Betriebssystem, Hypervisor, Exadata-Speicherserver und andere Aspekte der Infrastrukturumgebung.
- Oracle ist für die DBMS-Software und den Gesamtzustand der Datenbank verantwortlich.
In diesem Modell hat Oracle uneingeschränkten Zugriff auf die Komponenten in seinem Verantwortungsbereich. Dies kann ein Problem darstellen, wenn Sie gesetzliche Vorschriften für Audit und Kontrolle aller Aspekte Ihres Systemmanagements erfüllen müssen.
Oracle Operator Access Control ist ein Complianceauditsystem, mit dem Sie eine enge Verwaltung und Audittrails aller Aktionen verwalten können, die ein Oracle-Operator auf der Exadata-Infrastruktur, der Exadata-Infrastruktur, die ein Autonomous Database hostet, und dem autonomen Exadata-VM-Cluster (virtuelle Clientmaschinen, die in Oracle Autonomous Database bereitgestellt sind), durch Oracle verwaltet. Darüber hinaus können Kunden den Zugriff des Operators auf eine bestimmte vom Kunden genehmigte autonome Containerdatenbank (ACD) kontrollieren und einschränken.
- Kontrollieren Sie, wer auf das System zugreifen kann, wann auf das System zugegriffen werden kann und wie lange Oracle-Mitarbeiter auf das System zugreifen können.
- Schränken Sie den Zugriff und die Aktionen ein, die Oracle-Operatoren auf Ihrem System ausführen können.
- Zugriff widerrufen, einschließlich zuvor erteilter geplanter Zugriffe.
- Zeigen Sie einen Bericht mit Daten nahezu in Echtzeit über alle Aktionen an, die Oracle-Operatoren auf Ihrem System ausführen, und speichern Sie den Bericht.
- Kontrollieren und auditieren Sie alle Aktionen, die von einem Operator oder einer Systemsoftware in den folgenden Autonomous Database-Ressourcen ausgeführt werden:
- Exadata Infrastructure
- Autonomes Exadata-VM-Cluster (AVMC)
- Autonome Containerdatenbank (ACD)
- Stellen Sie Kontrollen für virtuelle Clientmaschinen bereit, die auf Oracle Autonomous Database bereitgestellt werden. Wie Operator Access Control für die Cloud@Customer-Infrastruktur können Kunden Zugriffskontrollen für Oracle-Operatoren für ihre autonomen VM-Cluster einrichten, die auf Exadata Cloud@Customer oder Oracle Public Cloud bereitgestellt sind. Weitere Informationen finden Sie unter Operator Access Control-Aktionen: Autonomes VM-Cluster.
- dieselben Audits und Zugriffskontrollen in Ihren Systemen verwalten Weitere Informationen finden Sie unter How Operator Access is Audited.
- die für interne oder externe Audits in Ihren Systemen erforderlichen Auditdatensätze bereitstellen. Weitere Informationen finden Sie unter Logs mit Operator Access Control verwalten und suchen.
Beim Erstellen einer Operator Control können Sie entweder Exadata-Infrastruktur oder Autonomes Exadata-VM-Cluster auswählen, je nachdem, welche Ressource Sie für den Operatorzugriff auditieren möchten. Weitere Einzelheiten finden Sie unter Operatorkontrolle erstellen.